Payment Card Industry (PCI) Data Security Standard (DSS) ist heute DER Sicherheitsstandard, wenn es um die Verarbeitung und Speicherung von Kreditkarteninformationen geht. Ein Standard, der von allen Unternehmen eingehalten werden muss, die in irgendeiner Weise am Transaktionsprozess beteiligt sind - metaphernkonform mit der „Kette und ihrem schwächsten Glied“.

clip_image002Florian Sailer hat nun im Zuge seiner Master Thesis an der Donauuniversität Krems die Sicherheitstechnologien der Microsoft Serverplattform dahingehend evaluiert, inwieweit sie die schlanke und kostengünstige Umsetzung einer PCI DSS-konformen Kreditkartenumgebung unterstützen.

Dabei wurden konkret die Windows Server 2008 Enterprise Features, Funktionen und Sicherheitseinstellungen den Detailanforderungen und Anweisungen aus PCI DSS gegenübergestellt. Mit dem Ergebnis, dass Windows Server 2008 zusammen mit Active Directory eine homogene und zugleich flexible IT-Landschaft für Server zur Verfügung stellt, die als Fundament „zur Bereitstellung eines Payment-Service eingesetzt und hinsichtlich PCI DSS optimal erweitert werden kann.“

Bemerkenswert dabei ist, dass Florian Sailer angesichts der Komplexität des Themas zu dem - nur auf den ersten Blick überraschenden - Schluss kommt, dass „mit Technologie alleine keine konforme Umsetzung aller zwölf Anforderungen bewerkstelligt werden (kann)“ und dazu – neben zusätzlicher Hard- und Software – auch „neue Methoden entwickelt und eingeführt werden müssen.“

Interessant für uns war auch der kurze Ausflug in den Bereich Virtualisierung und die Rolle von Hyper-V. Dabei zeigte sich, dass das Budget- und Ressourcen-schonende Konzept der Bereitstellung kompletter Systeme als virtuelle Instanzen auf einem Hyper-V Server „auch auf PCI DSS Kreditkartenumgebungen angewendet werden kann.“ Mit dem zusätzlichen Vorteil, „dass alle erforderlichen Funktionen als virtuelle Server zur Laufzeit gespeichert und ausgetauscht werden können. Bei Ausfall eines Systems ist umgehend eine neue Instanz mit dem letzten funktionierenden Backup startbar und damit ständige Verfügbarkeit gewährleistet (Teil der Anforderung 12.9.1).“

Für alle, die sich näher mit dieser Thematik beschäftigen wollen, hat Florian Sailer seine Arbeit im Web für alle Freunde des ReadyBlog und alle an der Thematik Interessierten unter diesem LINK bereitgestellt.

posted by Wolfgang Tonninger